h3c F5020防火墙web界面不能访问，ping不通管理地址

debug看一下原因

3，开启会话统计功能：session statistics enable

       并查看故障时的会话状态信息 display session table ipv4 source-ip X.X.X.X destination-ip Y.Y.Y.Y verbose （一定要带上verbose！）

4，创建一个空ACL 3XXX，写上两条明细rule，分别对应来回流量的源目地址，如下：

[FW]acl advanced 3XXX

[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X  0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X  0 destination X.X.X.X  0

       另外如果有NAT，假设（X.X.X.X） NAT后的地址为（A.A.A.A 会话中可以看到NAT后的地址），则需要再写上两条rule ，分别对应NAT后的来回流量的源目地址，如下：

[FW]acl advanced 3XXX

[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X  0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X  0 source X.X.X.X  0

[FW-acl-ipv4-adv-3010]rule 10 permit ip source A.A.A.A 0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 15 permit ip destination X.X.X.X 0 source A.A.A.A  0

5，以安全策略security-policy为例，分别进行以下debug调试：

<FW>debugging ip packet acl 3XXX                                    # 查看报文具体从哪个接口，哪个slot上来和发出的情况

<FW>debugging ip info acl 3XXX                                          # 如果有丢包则会打印信息丢包的具体模块，如果没有丢包则不打印

<FW>debugging aspf packet acl 3XXX                                # 如果报文状态不合法，则会显示被aspf丢弃，需检查流量来回是否一致

<FW>debugging security-policy packet ip acl 3XXX         # 如果是对象策略则用object-policy，如果是包过滤则用packet-filter

   如果没有会话，但是debug有报文上来，还需要收集：

<FW>debugging session session-table all acl 3XXX          # 可以查看会话被删除的具体情况